「PostgreSQL 14.1」が公開、セキュリティ脆弱性を修正

The PostgreSQL Global Development Groupは11月11日、最新のポイントリリースとなる「PostgreSQL 14.1」を公開した。2件のセキュリティ修正が加わっている。合わせて、9.6系最後のリリースも公開した。

 過去3ヶ月の間に発見された2件のセキュリティ上の脆弱性(CVE-2021-23214とCVE-2021-23222)と40以上のバグも修正した。CVE-2021-23214は、サーバーがclientcert要件でtrust認証を用いるよう設定されているなどの条件下で、最初に接続が確立された際に中間者攻撃により任意のSQLクエリを挿入される脆弱性。CVE-2021-23222は、SSL証明書と暗号化を使っていても、中間者攻撃によりクライアントの初期の数回のクエリに対して誤った応答を挿入できる脆弱性。ともに、以前からある問題で9.6系から14系までが影響を受ける。

 14.1に合わせて、13系(13.5)、12系(12.9)、11系(11.14)、10系(10.19)、9系(9.6.24)も公開している。9.6系では最後のリリースとなるため、9.6を運用環境で動かしているユーザーに対してアップグレードを呼びかけている。

PostgreSQL
https://www.postgresql.org/